אבטחה: הסבר על בעיות אבטחה

Kayce Basques
Kayce Basques

משתמשים בחלונית אבטחה בכלי הפיתוח ל-Chrome כדי לוודא ש-HTTPS מוטמע כראוי בדף. במאמר למה חשוב להשתמש ב-HTTPS מוסבר למה צריך להגן על כל אתר באמצעות HTTPS, גם אם הוא לא מטפל במידע אישי רגיש של משתמשים.

סקירה כללית

החלונית אבטחה היא המקום העיקרי בכלי הפיתוח שבו בוחנים את אבטחת הדף. בחלונית אבטחה מוצגת סקירה כללית של מקורות הדף, כולל אזהרות אבטחה של HTTP, פרטי מקורות ואישורים.

פתיחת החלונית Security (אבטחה)

כדי לפתוח את החלונית אבטחה:

  1. פותחים את כלי הפיתוח.
  2. פותחים את תפריט הפקודה על ידי לחיצה על:
    • macOS: Command+Shift+P
    • ב-Windows, ב-Linux וב-ChromeOS:‏ Control+Shift+P

  3. מתחילים להקליד security, בוחרים באפשרות הצגת חלונית האבטחה ומקישים על Enter.

    בחלונית 'אבטחה'.

    איור 1. לוח האבטחה

לחלופין, בפינה השמאלית העליונה בוחרים באפשרות more_vert אפשרויות נוספות > כלים נוספים > אבטחה.

בעיות נפוצות

מקורות ראשיים לא מאובטחים

אם המקור הראשי של דף לא מאובטח, בקטע סקירה כללית של האבטחה תופיע ההודעה הדף הזה לא מאובטח.

דף לא מאובטח

איור 2. דף לא מאובטח

הבעיה הזו מתרחשת כשכתובת ה-URL שבה ביקרתם נשלחה בבקשה באמצעות HTTP. כדי לאבטח אותו, צריך לבקש אותו ב-HTTPS. לדוגמה, אם תעיינו בכתובת ה-URL בסרגל הכתובות, סביר להניח שהיא תיראה כמו http://example.com. כדי לשמור על האבטחה, כתובת ה-URL צריכה להיות https://example.com.

אם כבר הגדרתם HTTPS בשרת, כל מה שצריך לעשות כדי לפתור את הבעיה הזו הוא להגדיר את השרת להפנות אוטומטית את כל בקשות ה-HTTP ל-HTTPS.

אם לא מוגדר HTTPS בשרת שלכם, האפשרות Let's Encrypt מספקת דרך חינמית וקלה יחסית להתחיל את התהליך. לחלופין, מומלץ לארח את האתר ב-CDN. רוב רשתות ה-CDN הגדולות מארחות אתרים ב-HTTPS כברירת מחדל.

תוכן מעורב

המשמעות של תוכן מעורב היא שהמקור הראשי של הדף מאובטח, אבל הדף ביקש משאבים ממקורות לא מאובטחים. דפים עם תוכן מעורב מוגנים רק באופן חלקי, כי תוכן ה-HTTP נגיש לסורקים וחשוף למתקפות מסוג אדם בתווך.

תוכן מעורב.

איור 3. תוכן מעורב

באיור 3, לחיצה על הצגת בקשה אחת בחלונית הרשת פותחת את החלונית Network ומחילה את המסנן mixed-content:displayed, כך שביומן הרשת יוצגו רק משאבים לא מאובטחים.

משאבים מעורבים ביומן הרשת.

איור 4. משאבים מעורבים ביומן הרשת

הצגת פרטים

הצגת אישור המקור הראשי

בדף Security Overview, ל��חצים על View certificate כדי לבחון במהירות את האישור של המקור הראשי.

אישור מקור ראשי.

איור 5. אישור מקור ראשי

הצגת פרטי המקור

לוחצים על אחת מהרשומות בתפריט הניווט הימני כדי להציג את פרטי המקור. בדף הפרטים אפשר לראות מידע על החיבור והאישורים. מידע על שקיפות האישורים מוצג גם אם הוא זמין.

פרטי המקור הראשי.

איור 6. פרטי המקור הראשי